第4章 數(shù)據(jù)庫(kù)安全性.ppt

1、1,數(shù)據(jù)庫(kù)系統(tǒng),計(jì)算機(jī)系統(tǒng)的三類安全性問題,1. 技術(shù)安全類 2. 管理安全類 3. 政策法律,4.1 安全性概述,數(shù)據(jù)庫(kù)的安全性問題：保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。即：使未經(jīng)授權(quán)的人員不能訪問、改變和破壞數(shù)據(jù)，也就是數(shù)據(jù)庫(kù)的存取控制。,技術(shù)安全: 指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露,管理安全: 軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題。 政策法律: 政府部門建立的有關(guān)計(jì)

2、算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。,安全標(biāo)準(zhǔn)簡(jiǎn)介： TCSEC：美國(guó)國(guó)防部在1985年提出的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則。 CC：1993年，各個(gè)局部組織聯(lián)合起來建立了通用的準(zhǔn)則，稱為CC標(biāo)準(zhǔn)。,可信計(jì)算機(jī)系統(tǒng)的概念應(yīng)運(yùn)而生。,6,兩方面的含義,拒絕非法人員訪問 拒絕程序或操作錯(cuò)誤所造成的非法存取,7,在計(jì)算機(jī)系統(tǒng)中，安全策略是層層設(shè)置安全措施的，其安全控制模型如圖：,4.2數(shù)據(jù)庫(kù)安全性控制,8,4.2數(shù)據(jù)庫(kù)安全性控制,1. 用戶標(biāo)識(shí)和鑒別 是系統(tǒng)提供的最外層安全保護(hù)措施，用于鑒別用戶身份，確認(rèn)是否為合法用戶。 通常采取自報(bào)家門和口令核實(shí)相結(jié)合的方法。,9,自報(bào)家門：系統(tǒng)用一個(gè)標(biāo)

3、識(shí)符來標(biāo)明用戶身份（稱為用戶名），系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)及身份特征。當(dāng)要進(jìn)入系統(tǒng)時(shí)，用戶要先輸入自己的用戶名，告訴系統(tǒng)你是誰。系統(tǒng)確認(rèn)存在該用戶時(shí)轉(zhuǎn)入下一步進(jìn)一步核實(shí)。 口令證實(shí)：用戶輸入自己的身份特征（這里是密碼）供系統(tǒng)核對(duì)，系統(tǒng)確認(rèn)是你嗎？,10,說明： 用戶名是公開的（便于通信），一般不作更改；口令是保密的，用戶可自己修改。系統(tǒng)應(yīng)定期提醒用戶改變口令。 為防止口令被竊，系統(tǒng)對(duì)口令自動(dòng)加密（一般不可逆），系統(tǒng)存儲(chǔ)加了密的口令。 為進(jìn)一步加強(qiáng)口令保護(hù)，可將一個(gè)計(jì)算過程或函數(shù)作為口令，系統(tǒng)每次都提供一個(gè)隨機(jī)數(shù)，用戶以該隨機(jī)數(shù)為參數(shù)計(jì)算函數(shù)后將結(jié)果告訴系統(tǒng)。 口令設(shè)防可層層進(jìn)行。 還可

4、用指紋、聲音、IC卡、使用條件（時(shí)間、地點(diǎn)等）,11,2. 數(shù)據(jù)存取控制 數(shù)據(jù)庫(kù)安全最重要的一點(diǎn)就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)保證未被授權(quán)的人員無法存取數(shù)據(jù)。 當(dāng)前大型DBMS支持的存取控制主要有自主存取控制和強(qiáng)制存取控制兩種。,12,定義用戶權(quán)限 定義了用戶在那些對(duì)象上具有那些類型的操作。系統(tǒng)將用戶權(quán)限登記在數(shù)據(jù)字典中。 合法權(quán)限檢查 每當(dāng)用戶發(fā)出存取數(shù)據(jù)的操作請(qǐng)求后，系統(tǒng)根據(jù)數(shù)據(jù)字典及安全規(guī)則，檢查用戶是否具有相應(yīng)的權(quán)限，若不具有，則拒絕存取。,自主存取控制,SQL語句提供Grant語句和Revoke語句。,SQL語句的數(shù)據(jù)控制指的是控制用戶對(duì)數(shù)據(jù)的存儲(chǔ)權(quán)利，是由DBA

5、來決定的。 一、權(quán)限與角色 1、權(quán)限 系統(tǒng)權(quán)限 對(duì)象權(quán)限,13,系統(tǒng)權(quán)限：用戶對(duì)DB進(jìn)行某種特定操作的權(quán)力。如創(chuàng)建基本表的權(quán)力。該項(xiàng)權(quán)利由DBA授予。 對(duì)象權(quán)限：用戶對(duì)特定數(shù)據(jù)庫(kù)對(duì)象進(jìn)行某種特定操作的權(quán)力。該項(xiàng)權(quán)利由對(duì)象的創(chuàng)建者授予。如增、刪、改、查等操作。,14,2、角色 角色是多種權(quán)限的集合（可以手動(dòng)創(chuàng)建），可以把角色授予給其他用戶和角色。 當(dāng)要為一個(gè)用戶同時(shí)授予多項(xiàng)權(quán)限時(shí)，可以把這些權(quán)限定義為一個(gè)角色，并對(duì)這個(gè)角色進(jìn)行操作。,15,二、權(quán)限（角色)的授予與收回 可以分為系統(tǒng)權(quán)限（角色）以及對(duì)象權(quán)限（角色）的授予和收回。 通過GRANT和REVORK將授權(quán)通知系統(tǒng)，并存入系統(tǒng)。 當(dāng)用戶提出

6、操作數(shù)據(jù)庫(kù)的請(qǐng)求時(shí)，根據(jù)授權(quán)情況檢查是否允許操作請(qǐng)求執(zhí)行。,16,17,權(quán)限（角色）的授予的語法： GRANT |,|. ON TO | | ,|. WITH GRANT OPTION;,PUBLIC代表所有用戶。,允許該用戶將權(quán)限再授給其他用戶。,授予對(duì)象權(quán)限時(shí)使用。,權(quán)限（角色）的收回的語法： REVOKE | ,|. FROM | ,|. CASCADE | RESTRICT；,18,收回用戶權(quán)限時(shí)，同時(shí)收回他直接或間接轉(zhuǎn)授的權(quán)限。,如果該用戶還轉(zhuǎn)授了該權(quán)限則拒絕執(zhí)行。,例1：把創(chuàng)建表的權(quán)限授予用戶U1。 GRANT CREATE TABLE TO U1; 收回U1所擁有的創(chuàng)建表權(quán)限。

7、REVOKE CREATE TABLE FROM U1;,例2：把查詢和更新學(xué)生表的權(quán)限授予所有用戶。 GRANT SELECT,UPDATE ON TABLE 學(xué)生 TO PUBLIC;,例3：把對(duì)學(xué)生表和課程表的全部權(quán)限授予用戶U2和U3。 GRANT ALL PRIVILIGES ON TABLE 學(xué)生, 課程 TO U2, U3;,20,例4：把修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4。 GRANT UPDATE(學(xué)號(hào)) ON TABLE 學(xué)生 TO U4;,例5：收回所有用戶對(duì)學(xué)生表的查詢權(quán)限。 REVOKE SELECT ON TABLE 學(xué)生 FROM PUBLIC; 例6： 收回用戶U5

8、對(duì)選修表的INSERT權(quán)限。 REVOKE INSERT ON TABLE 選修 FROM U5 CASCADE;,21,例8：收回U4對(duì)學(xué)生表學(xué)號(hào)列的修改權(quán)限。 REVOKE UPDATE（學(xué)號(hào)） ON TABLE 學(xué)生 FROM U4；,22,例7：把對(duì)選修表的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶。 GRANT INSERT ON TABLE 選修 TO U5 WITH GRANT OPTION;,23,此時(shí)，U5還可以繼續(xù)傳播此權(quán)限！,假設(shè)現(xiàn)在以U5身份操作，則 GRANT INSERT ON TABLE 選修 TO U6 WITH GRANT OPTION;/U

9、6還可以向U7授權(quán),24,GRANT INSERT ON TABLE 選修 TO U7; /U7不能再傳播此權(quán)限。 選修表的屬主(或DBA)U5U6U7。,SQL靈活的授權(quán)機(jī)制 DBA擁有對(duì)數(shù)據(jù)庫(kù)中所有對(duì)象的所有權(quán)限，并可以根據(jù)應(yīng)用的需要將不同的權(quán)限授予不同的用戶。 用戶對(duì)自己建立的基本表和視圖擁有全部的操作權(quán)限，并且可以用GRANT語句把其中某些權(quán)限授予其他用戶。,25,被授權(quán)的用戶如果有“繼續(xù)授權(quán)”的許可，還可以把獲得的權(quán)限再授予其他用戶。 所有授予出去的權(quán)力在必要時(shí)又都可以用REVOKE語句收回。,26, 自主存取控制存在“無意泄露”的問題。 問題關(guān)鍵在與自主存取控制僅僅控制了用戶的存取

10、權(quán)限，沒有控制對(duì)數(shù)據(jù)的安全性。,強(qiáng)制存取控制,將DBMS中的實(shí)體分為兩類,主體：具有主動(dòng)操縱能力的用戶或進(jìn)程 客體：被操縱的數(shù)據(jù)對(duì)象，如表、視圖，索引等,強(qiáng)制存取控制中，DBMS為每個(gè)主體或客體的實(shí)例指派一個(gè)敏感度標(biāo)記，對(duì)于主體，稱作許可證級(jí)別，對(duì)于客體，稱作密級(jí)。敏感度標(biāo)記分為絕密、機(jī)密、可信和公開等。 主體只有具有合法的許可證級(jí)別時(shí)才能訪問客體。,主體存取客體的原則 (1) 僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，主體才能讀取客體； (2) 僅當(dāng)主體的許可證級(jí)別等于（小于）客體的密級(jí)時(shí)，主體才能寫客體。,31,3.視圖機(jī)制 利用視圖機(jī)制，限制用戶在一定的范圍內(nèi)使用數(shù)據(jù)，把要保密的數(shù)據(jù)通

11、過視圖機(jī)制對(duì)無權(quán)存取的用戶隱藏起來，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。,學(xué)號(hào) 姓名 性別 出生 住址 入伍 津貼,基本表,學(xué)號(hào) 政治 英語 數(shù)據(jù)庫(kù),基本表,教務(wù)部視圖,財(cái)務(wù)處視圖,學(xué)號(hào) 姓名 性別 政治 英語 數(shù)據(jù)庫(kù),學(xué)號(hào) 姓名 性別 入伍 津貼,32,4.審計(jì) 不管采取何種安全措施，系統(tǒng)的安全性都是相對(duì)的，審計(jì)技術(shù)用于事后追查突破存取控制的情況。 用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來放入審計(jì)日志，發(fā)生安全事故后，DBA可以利用審計(jì)跟蹤信息。 審計(jì)的開銷很大，因此一般允許用戶有選擇地打開或關(guān)閉審計(jì)功能，主要用于安全要求較高的部門。,33,審計(jì),系統(tǒng)級(jí)審計(jì)： 由DBA設(shè)置，主要監(jiān)測(cè)系統(tǒng)登錄、

12、授權(quán)操作等。,用戶級(jí)審計(jì)： 任何用戶均可對(duì)自己創(chuàng)建的對(duì)象設(shè)置審計(jì)，主要監(jiān)測(cè)對(duì)數(shù)據(jù)的訪問情況。,例：對(duì)修改SC表結(jié)構(gòu)及數(shù)據(jù)的操作進(jìn)行審計(jì) AUDIT ALTER，UPDATE ON TABLE SC； 撤消對(duì)SC表的上述審計(jì) NOAUDIT ALTER，UPDATE ON TABLE SC；,34,5 . 數(shù)據(jù)加密 對(duì)保密級(jí)別較高的數(shù)據(jù)，可以以密文的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中，從而防止數(shù)據(jù)在存儲(chǔ)和傳輸中失密的情況發(fā)生。這種技術(shù)對(duì)防止存儲(chǔ)設(shè)備丟失和線路傳輸中的竊聽非常有效。,35,加密的基本思想是：對(duì)于寫數(shù)據(jù)庫(kù)請(qǐng)求，DBMS根據(jù)一定的算法將明文數(shù)據(jù)轉(zhuǎn)換成不可直接識(shí)別的數(shù)據(jù)后寫入數(shù)據(jù)庫(kù)；對(duì)于讀數(shù)據(jù)請(qǐng)求，DB

13、MS從數(shù)據(jù)庫(kù)讀出數(shù)據(jù)后，按一定的算法將密文還原成明文，然后交給請(qǐng)求提出者。,36,數(shù)據(jù)加/解密由密鑰和算法兩部分組成，如果能由加密密鑰推出解密密鑰(或反向)，稱為對(duì)稱密鑰，否則為非對(duì)稱密鑰。一般密鑰是保密的，算法是公開的。 只擁有讀（解密）密鑰的人只能讀出數(shù)據(jù)并還原為明文，同時(shí)擁有讀、寫（加密）密鑰的人可以讀出數(shù)據(jù)-還原為明文-修改-加密為密文-系統(tǒng)檢查，合法后存儲(chǔ)之。,37,加密方法： 替換方法：使用密鑰（Encryption Key）將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符 置換方法：將明文的字符按不同的順序重新排列 混合方法：美國(guó)1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data E

14、ncryption Standard，簡(jiǎn)稱DES),其它的一些方法 統(tǒng)計(jì)數(shù)據(jù)庫(kù) 數(shù)據(jù)污染,統(tǒng)計(jì)數(shù)據(jù)庫(kù)的特點(diǎn)： 1）允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等） 2）不允許查詢單個(gè)記錄信息 例：允許查詢“程序員的平均工資是多少？” 不允許查詢“程序員張勇的工資？”,統(tǒng)計(jì)數(shù)據(jù)庫(kù)中特殊的安全性問題： 1）隱蔽的信息通道 2）從合法的查詢中推導(dǎo)出不合法的信息,例1：下面兩個(gè)查詢都是合法的： 1本公司共有多少女高級(jí)程序員 2本公司女高級(jí)程序員的工資總額是多少？ 如果第一個(gè)查詢的結(jié)果是“1”， 那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。,規(guī)則1：任何查詢至少要涉及N(N足夠大)個(gè)以上的記錄,例2：用戶A發(fā)出下面兩個(gè)合法查詢： 1用戶A和其他N個(gè)程序員的工資總額是多少？